Хакерская группа, проявляющая активность последние несколько лет и известная под псевдонимами Iron и Rocke, разработала многофункциональный вирус, угрожающий безопасности серверов Linux и Windows. Вредносная программа, получившая название XBash, объединяет в себе функциональность червя, ransomware, криптомайнера и ботнета.

Iron, которая, по мнению экспертов Cisco Talos базируется в Китае, в 2017 г. и начале 2018 г. распространяла вымогательское ПО, а затем перешла к массовым операциям по внедрению криптомайнеров.

Теперь же, по информации исследователей из Palo Alto Networks, хакеры объединили всё свои предыдущие тактические приёмы, развернув структуру ботнета с возможностями ransomware и майнера криптовалют. Своего нового вредоноса Iron дополнила ещё и червём, способным самостоятельно распространяться внутри изолированных корпоративных сетей.

Анализ XBash показал, что программа выборочно активирует указанные компоненты: ботнет и ransomware задействуется только при атаках на Linux-серверы, а криптомайнер работает только в среде Windows. Опция червя, по данным исследователей, использовалась на этапе разработки XBash и в настоящее время законсервирована.

Модуль ботнет, обеспечивающий плацдарм для развёртывания вредоносной деятельности XBash, содержит сканер, который ищет в Сети веб-приложения, где не были установлены защитные обновления или используются пароли по умолчанию.

Используя эксплойты, XBash проникает в серверы Hadoop, Redis или ActiveMQ, где оставляет копию своего ботнета и ransomware (на Linux-серверах). Далее, он сканирует локально работающие службы баз данных, шифрует содержимое баз данных и оставляет сообщение с требованием выкупа в размере 0,02 Bitcoin ($125) за восстановление баз данных (которые к тому времени уже безвозвратно потеряны).

Инфицирование Windows происходит только если точкой входа является сервер Redis. В этом случае применяется особая процедура установки майнера виртуальных денег.

В состав ботнета XBash входит и ещё одни сканер, который ищет в Интернете и пытается взломать методом грубой силы веб-серверы (HTTP), VNC, MariaDB, MySQL, PostgreSQL, Redis, MongoDB, Oracle DB, CouchDB, ElasticSearch, Memcached, FTP, Telnet, RDP, UPnP/SSDP, NTP, DNS, SNMP, LDAP, Rexec, Rlogin, Rsh и Rsync. Это позволяет ботнету разрастаться более быстрыми темпами и увеличивает поверхность атаки.

Активация "спящей" кросс-платформенной функциональности в следующих версиях XBash позволит мошенникам увеличить прибыль, получаемую от обманутых жертв.

Для защиты данных эксперты рекомендуют выполнять следующие простые требования безопасности: пользоваться антивирусами с актуальной базой, вовремя устанавливать обновления операционной системы и важных программ, а также обязательно делать резервные копии данных.

Резервирование информации должно выполняться регулярно и в автоматическом режиме без привлечения пользователей и администраторов. Бакапы лучше всего хранить одновременно в нескольких местах и, как минимум, одну резервную копию лучше всего хранить в облачном хранилище.

Сервис облачного резервирования BACKUPRENT поможет вам правильно организовать процесс резервирования данных, строго следуя правилу 3-2-1 и разместит бэкапы в надежном специализированном облачном хранилище.

Мы уже выделили для вас 500 Гб в облачном хранилище на пробный бесплатный 30-дневный период. Подайте заявку на пробный доступ прямо сейчас и защитите критически важные данные вашей компании от сбоев и вирусов-шифровальщиков.

Помните, что в случае выполнения условий вымогателей и оплате выкупа за расшифровку данных, вы финансируете кибер-преступность и ее развитие!